Fragwürdige Arbeitsweise des Sicherheitseventlogs
Ich grüße alle Admins!
Bei weiteren Untersuchungen angelehnt an meinen Tipp Windows-Security-Eventlog war umgehbar habe ich Folgendes herausgefunden (getestet auf einem gepatchten Windows Server 2019):
Ich habe dazu bei MS Q&A einen Thread gestartet: https://learn.microsoft.com/en-us/answers/questions/1160544/the-security ...
Wenn Ihr daran interessiert seid, klickt dort doch bitte auf "I have the same question".
Auch würde mich interessieren, ob jemand das bei anderen OS' nachstellen kann (win10/11/server2016/2022), falls Ihr diese gerade als Test-VM zur Hand habt.
Nun zur Frage
Hat die verlinkte GPO bei einem von Euch irgendwo JEMALS funktioniert?
Ich muss gestehen, wir haben sie zwar immer gesetzt, aber in den letzten 10 Jahren zumindest nie getestet.
Bei weiteren Untersuchungen angelehnt an meinen Tipp Windows-Security-Eventlog war umgehbar habe ich Folgendes herausgefunden (getestet auf einem gepatchten Windows Server 2019):
- Die GPO System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können hat keinerlei Effekt! D.H., ist das Log beispielsweise voll (neue Events überschreiben alte nicht ist eingestellt), dann fährt das System NICHT wie erwartet sofort runter.
- Wenn der Eventlogdienst abstürzt oder per Taskkill abgeschossen wird, werden die Events zwar nachgetragen, sobald der Dienst wieder läuft (Auto-Restart nach 60 Sek. ist der Default), jedoch werden diese nachgetragenen Events nicht genau wie aktuell auftretende Events abgearbeitet: an bestimmte Events geknüpfte Eventtrigger werden nämlich NICHT ausgelöst.
Ich habe dazu bei MS Q&A einen Thread gestartet: https://learn.microsoft.com/en-us/answers/questions/1160544/the-security ...
Wenn Ihr daran interessiert seid, klickt dort doch bitte auf "I have the same question".
Auch würde mich interessieren, ob jemand das bei anderen OS' nachstellen kann (win10/11/server2016/2022), falls Ihr diese gerade als Test-VM zur Hand habt.
Nun zur Frage
Hat die verlinkte GPO bei einem von Euch irgendwo JEMALS funktioniert?
Ich muss gestehen, wir haben sie zwar immer gesetzt, aber in den letzten 10 Jahren zumindest nie getestet.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5331990828
Url: https://administrator.de/forum/fragwuerdige-arbeitsweise-des-sicherheitseventlogs-5331990828.html
Ausgedruckt am: 01.04.2025 um 19:04 Uhr
4 Kommentare
Neuester Kommentar
Moin.
Ey, mann, ey - immer, wenn ich mir denke: Puh, ruhigeres Fahrwasser/alles soweit im Lot, kommt @DerWoWusste mit sowas ums Eck!
Btw: Danke dafür!
Und ja, ich erinnere mich dunkel, dass diese GPO vor vielen Jahren (war das noch mit Server 2003? Oder doch schon 2008?) mal für das Szenario gesorgt hat, dass ein Server "von Geisterhand" immer mal wieder aus war. Nicht hart abgeschaltet, sondern "sauber" heruntergefahren.
Cheers,
jsysde
Ey, mann, ey - immer, wenn ich mir denke: Puh, ruhigeres Fahrwasser/alles soweit im Lot, kommt @DerWoWusste mit sowas ums Eck!
Btw: Danke dafür!
Zitat von @DerWoWusste:
[...]Nun zur Frage
Hat die verlinkte GPO bei einem von Euch irgendwo JEMALS funktioniert?
Ich muss gestehen, wir haben sie zwar immer gesetzt, aber in den letzten 10 Jahren zumindest nie getestet.
Gesetzt ist die, ich versuche grad, das zu reproduzieren.[...]Nun zur Frage
Hat die verlinkte GPO bei einem von Euch irgendwo JEMALS funktioniert?
Ich muss gestehen, wir haben sie zwar immer gesetzt, aber in den letzten 10 Jahren zumindest nie getestet.
Und ja, ich erinnere mich dunkel, dass diese GPO vor vielen Jahren (war das noch mit Server 2003? Oder doch schon 2008?) mal für das Szenario gesorgt hat, dass ein Server "von Geisterhand" immer mal wieder aus war. Nicht hart abgeschaltet, sondern "sauber" heruntergefahren.
Cheers,
jsysde